[미디어펜=김성준 기자] 쿠팡발 대규모 개인정보 유출에 이어 G마켓에서 무단결제 사고가 발생하면서 국내 유통·식품업계 전반의 미흡한 정보보안 실태가 수면 위로 올라왔다. 낮은 투자 비중과 전담 인력 부족 등 보안을 ‘후순위’로 두는 업태가 만연했다는 점에서 ‘예견된 사고’였다는 지적이 나온다.
| |
 |
|
| ▲ 박대준 쿠팡 대표이사가 쿠팡의 개인정보 유출과 관련 12월 2일 오전 국회 과학기술정보방송통신위원회 전체회의에 출석하고 있다. /사진=미디어펜 김상문 기자 |
4일 한국인터넷진흥원(KISA)에 따르면 지난해 12월31일 기준 쿠팡의 정보보호부문 투자액은 890억 원으로 전체 정보기술부문 투자액 1조9171억 원 중 4.6%를 차지하는 데 그쳤다. 2024년 쿠팡 전체 매출 41조2901억 원과 비교하면 0.2%에 불과했다. 아마존과 알리바바 등 해외 이커머스 기업의 경우 전체 매출 중 1.5% 안팎을 정보보호에 투자하는 것으로 알려져 있다.
쿠팡의 정보보호 투자 미비는 조직 내부에서 보안의 우선순위가 낮은 방증이라는 지적이 나온다. 실제로 쿠팡 3370만개 계정 개인정보 유출의 단초가 된 것은 퇴사한 개발자의 인증키를 5개월 넘게 방치한 안일한 조치였다. 유출 용의자가 퇴사 이후 내부 시스템에 접근해 개인정보를 빼돌리는 동안 쿠팡은 이를 자체적으로 인지하지도 못했다.
한 이커머스 업계 관계자는 “쿠팡은 고용 유연성을 강조하는 미국식 기업문화 영향 때문에 인력의 턴오버(이직률)가 심한 것으로 안다”라며 “IT 보안은 각사의 시스템적 특성이나 개발 히스토리 등을 이해하는 노하우가 매우 중요한데, 근속 기간이 짧으면 업무의 연속성이 떨어질 수밖에 없다”고 짚었다.
또 다른 관계자는 “퇴사자의 시스템 인증 권한 말소는 가장 기초적인 보안 조치에 속한다”라면서 “입사와 퇴사가 빈번한데도 퇴사자 인증 권한이 장기간 방치된다는 것은, 이번 사태가 아니었더라도 이미 시한폭탄이 작동 중이었던 상황으로 보인다”라고 설명했다.
| |
 |
|
| ▲ G마켓은 지난달 29일 발생한 무단결제 사건과 관련해 피해 고객 전원에게 선보상을 진행하고 추가 피해를 막기 위한 보안 강화 대응책을 마련하겠다고 밝혔다./사진=G마켓 제공 |
정부는 대규모 개인정보를 처리하는 기업들에게 IT 관련 예산 중 정보보호에 15% 이상을 투자하도록 권고하고 있다. 다만 이를 강제하는 법률은 없는 상황으로, 현재 일정 규모 이상 기업에 대해 정보보호 투자 관련 내용 공개만 의무화하고 있다.
보안 투자 비중이 자율에 맡겨졌지만 정부 권고를 이행하는 기업을 찾아보긴 어렵다. 실제로 국내 주요 이커머스 업체의 정보기술부문 투자액 대비 정보보호부문 투자액 비중은 G마켓(11%), 11번가(6.9%), SSG닷컴(4.6%) 등으로 모두 정부 권고치인 15%를 하회했다.
특히 쿠팡이 계정 정보 유출을 공지한 지난달 29일 무단결제 피해가 발생한 G마켓의 경우, 타 이커머스 대비 정보보호 투자 비중이 높은 편이었음에도 사고를 예방하진 못했다. 다른 이커머스 업체들도 안전지대라 할 수 없는 상황이다. G마켓은 무단결제 피해가 개인정보 도용 범죄에 따른 것으로 해킹과는 성격이 다르다고 해명했지만, 잇달아 발생한 대규모 개인정보 유출에 실제 금전적 피해 사례까지 발생하며 소비자 불안감은 확산되고 있다.
최근 ‘자체몰’ 비중을 늘려가고 있는 식품업계에도 불똥이 튀었다. 사업 확장에 치중해 정보보안 우선순위를 미뤄뒀다는 비판이 제기되고 있어서다. 현재 자체몰을 운영 중인 주요 식품기업의 정보보호부문 투자액 비중은 △CJ제일제당 9.1% △롯데칠성음료 8.6% △롯데웰푸드 8.3% △오뚜기 7.9% △대상 7.1% △농심 5.5% △동원F&B 2.9% 등으로 10%를 밑돌았다. 정보보호부문 전담인력 역시 △CJ제일제당 35.6명 △대상 7.4명 △롯데칠성음료 7.0명 △오뚜기 6.0명 △롯데웰푸드 4.4명 △동원F&B 1.2명 등 순이었다. CJ제일제당(14.6%)을 제외하면 인력 비중도 10%를 넘지 않았으며, 외주 인력 비중이 50% 이상이었다.
업계 전문가들은 과거와 비교해 해킹 등 사이버 공격 빈도와 정교함이 높아진 만큼, 기업들이 당장의 수익성을 넘어 적극적인 보안 강화 투자가 필요하다고 지적한다. 주요 이커머스 및 식품업계들도 국제 정보보호 인증을 획득하고 자체적인 개인정보 유출 진단, 취약점 진단, 사이버위기대응 모의훈련 등을 수행하며 보안 태세를 강화한다는 방침이다.
한 식품업체 관계자는 “최근 타 기업에서의 보안사고가 지속 발생함에 따라 당사 자사몰 전반의 보안 체계를 다시 한 번 점검 중에 있으며, 앞으로도 개인정보 보호 수준을 꾸준히 고도화해나갈 것”이라고 말했다. SSG닷컴 관계자도 “(개인정보 유출 사태와 관련해) 정기, 수시 점검과 내부 통제를 지속 강화하고 있다”고 말했다.
[미디어펜=김성준 기자]
▶다른기사보기